本申請實施例提供了一種異常用戶識別方法及裝置，包括：獲取待識別用戶的當前行為數據；提取當前行為數據在多個行為維度中各行為維度下的當前特征數據；獲取待識別用戶的運維信息和地理信息；根據待識別用戶的運維信息和地理信息，確定與運維信息和地理信息匹配的待識別用戶所屬目標群組；針對每一行為維度，判斷在該行為維度下的當前特征數據是否與目標群組對應的群組特征基線數據匹配，得到第一判斷結果；若第一判斷結果為不匹配，則確定待識別用戶為異常用戶。應用本申請實施例提供的技術方案，能夠實現識別出異常的網絡準入用戶。

技術領域

本申請涉及網絡安全領域，特別是涉及一種異常用戶識別方法及裝置。

背景技術

隨著網絡技術的大量應用與快速發展，網絡信息安全威脅也在不斷增加。在企業網中，新的安全威脅不斷的涌現，病毒日益肆虐，為了解決現有安全防御體系中的不足，很多企業都部署了EAD(Endpoint Admission Defense，端點準入防御)解決方案和VPN(Virtual Private Network，虛擬專用網絡)網關，整合單點防御系統，加強對用戶的管理，實施統一的安全策略，提高網絡終端的主動抵抗能力。

然而，在企業網絡的管理中，仍然面臨著網絡準入用戶異常登錄的安全威脅，如何快速、簡單、直接的識別出異常登錄的網絡準入用戶，也就是，如何快速、簡單、直接的識別出異常用戶，是企業網絡管理中迫切需要解決的問題。

發明內容

本申請實施例的目的在于提供一種異常用戶識別方法及裝置，以實現識別出異常用戶。具體技術方案如下：

在第一方面，本申請實施例提供了一種異常用戶識別方法，所述方法包括：

獲取待識別用戶的當前行為數據；

提取所述當前行為數據在多個行為維度中各行為維度下的當前特征數據；

獲取所述待識別用戶的運維信息和地理信息；

根據所述待識別用戶的運維信息和地理信息，確定與所述運維信息和地理信息匹配的所述待識別用戶所屬目標群組；

針對每一所述行為維度，判斷在該行為維度下的當前特征數據是否與所述目標群組對應的群組特征基線數據匹配，得到第一判斷結果；

針對每一所述行為維度，判斷在該行為維度下的當前特征數據是否與所述待識別用戶對應的用戶特征基線數據匹配，得到第二判斷結果；

若所述第一判斷結果與所述第二判斷結果至少一個為不匹配，則確定所述待識別用戶為異常用戶。

在第二方面，本申請實施例提供了一種異常用戶識別裝置，所述裝置包括：

第一獲取模塊，用于獲取待識別用戶的當前行為數據；

提取模塊，用于提取所述當前行為數據在多個行為維度中各行為維度下的當前特征數據；

第二獲取模塊，用于獲取所述待識別用戶的運維信息和地理信息；

第一確定模塊，用于根據所述待識別用戶的運維信息和地理信息，確定與所述運維信息和地理信息匹配的所述待識別用戶所屬目標群組；

判斷模塊，用于針對每一所述行為維度，判斷在該行為維度下的當前特征數據是否與所述目標群組對應的群組特征基線數據匹配，得到第一判斷結果；

用于針對每一所述行為維度，判斷在該行為維度下的所述當前特征數據是否與所述待識別用戶對應的用戶特征基線數據匹配，得到第二判斷結果；

第二確定模塊，用于若所述第一判斷結果與所述第二判斷結果至少一個為不匹配，則確定所述待識別用戶為異常用戶。